트렌드

스냅챗 해킹…460만 고객정보 유출

2014.01.02

스냅챗이 신년초부터 대규모 고객정보 유출 사고를 맞이했다. 스냅챗은 자폭 메시지로 인기를 모은 모바일 메신저다.

스냅챗 로고
더버지 등 외신은 스냅챗에서 고객 460만명의 가입 정보가 유출됐다고 1월1일 보도했다. 정체를 밝히지 않은 해커는 2013년 12월28일(현지시각) ‘스냅챗DB’라는 웹사이트에 스냅챗 사용자의 아이디와 끝자리 2개가 지워진 전화번호를 공개했다. 스냅챗 고객정보는 SQL 백업 파일과 CSV 파일 형태로 웹사이트에 올라와 있어, 누구든 내려받을 수 있었다. 현재 이 웹사이트는 접속이 중단된 상태다.

이번 스냅챗 고객정보 유출은 스냅챗에 보안결함 해결을 촉구하는 시위의 성격이 짙다. 이번 해킹을 주도한 해커는 “대중이 보안문제에 경각심을 불러일으키고, 스냅챗으로 하여금 이 보안 결함을 고치라는 공적인 압력을 가하기 위해서”라고 고객정보를 공개한 이유를 밝혔다.

gibsonsec

▲스냅챗 보안 결함을 경고한 해커팀 ‘깁슨시큐리티‘ 웹사이트

스냅챗의 보안 문제는 예전부터 꾸준히 제기돼 왔다. ‘깁슨시큐리티’라는 해커팀은 지난해 12월25일 스냅챗의 보안 결함 2가지를 웹사이트에 공개했다. 휴대전화 번호로 친구를 찾아내는 기능의 허점과 대량으로 스냅챗 아이디를 만들 수 있는 문제였다. 깁슨시큐리티는 이 두 결함을 악용하면 스냅챗 전체 이용자 목록을 작성할 수도 있다고 경고했다. 이들은 “코드 10줄이면 해결될 문제를 4개월 동안 방치한 스냅챗의 태도에 화가 나 보안 결함을 공개했다”라고 지디넷에 밝혔다.

깁슨시큐리티가 스냅챗 보안 문제를 지적한 건 이때가 처음이 아니다. 깁슨시큐리티는 이 문제를 지난해 8월 처음 스냅챗에 알렸지만, 스냅챗은 이 문제가 제기된 지 4개월이 지나서야 대응에 나섰다.

스냅챗은 지난해 12월27일 깁슨시큐리티가 제기한 문제를 인정하고 “우린 이런 보안 결함을 악용하는 일을 방지하기 위해 다양한 대응책을 마련해 왔다”라고 발표했다. 그러나 이번 고객정보 유출로 인해, 스냅챗이 마련한 대응책은 충분치 않았음이 드러났다.

개인정보를 공개한 해커는 더버지에게 깁슨시큐리티가 공개한 공격법을 손봐서 사용했다고 설명했다. “스냅챗은 마지못해 고객정보를 보호하는 장치를 마련했다. 우리가 대규모로 고객정보를 수집하기 시작하자, 스냅챗은 작은 방해물을 심기로 결정했다. 그것도 한참 부족한 수준으로 말이다. 보안 결함은 지금도 존재한다. 대규모 데이터 수집은 여전히 가능하다.”

해커는 회의적인 전망을 내놓았다. “스냅챗은 아직 우리에게 어떤 연락도 하지 않았다. 깁슨시큐리티의 경고를 백안시했던 전례를 보면, 제대로 신경쓸 것 같지도 않다.”

스냅챗은 이번 고객정보 유출 사고에 아직 아무 해명도 내놓지 않았다.

nuribit@bloter.net

기술의 중심에서 사람을 봅니다. 쉽고 친절하게 쓰겠습니다. e메일 nuribit@bloter.net / 트위터 @nuri_bit / 페이스북 facebook.com/nuribit0